Tomcat 配置“X-Frame-Options头”

最新推荐文章于 2024-06-14 07:32:52 发布
最新推荐文章于 2024-06-14 07:32:52 发布
阅读量2.5w 收藏 35
点赞数 13
分类专栏: tomcat java

【原理】 配置http的响应头信息:属性名X-Frame-Options。
可以配置的参数有两个:
1.DENY:浏览器拒绝当前页面加载任何Frame页面。
2.SAMEORIGIN:页面只能加载入同源域名下的页面。
3.ALLOW-FROM uri:只能被嵌入到指定域名的框架中。
一般选第二个参数就可以了。


方式一:每页面添加(太傻逼):

<% response.addHeader("x-frame-options","SAMEORIGIN");%>​​​​​​​

方式二:单个项目生效:
1.在src目录下建一个包,命名为filter。在包里建类名为FrameTao。内容如下:

package filter;
 
import java.io.IOException;
import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
 
public class FrameTao implements Filter {
 
 
	public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException {
	//必须
        HttpServletRequest request = (HttpServletRequest) req;  
        HttpServletResponse response = (HttpServletResponse) res;  
        //实际设置
	response.setHeader("x-frame-options", "SAMEORIGIN");  
	//调用下一个过滤器(这是过滤器工作原理,不用动)
	chain.doFilter(request, response);
	}  
 
	public void init(FilterConfig config) throws ServletException {
	}
	
	public void destroy() {
	}
	
}

2.在web.xml文件下添加以下内容:

<!-- 设置Frame头,防止被嵌套 -->
<filter>  
    <filter-name>FrameFilter</filter-name>  
    <filter-class>filter.FrameTao</filter-class>  
</filter>  
<filter-mapping>
    <filter-name>FrameFilter</filter-name>  
    <url-pattern>/*</url-pattern>
</filter-mapping>

方式三:服务器(tomcat)上所有项目生效:
tomcat目录/conf/web.xml中的搜索httpHeaderSecurity配置(低版本不支持,需Tomcat 7.0.69以上),将其前面的注释去掉即可。

<filter-mapping>
      <filter-name>httpHeaderSecurity</filter-name>
      <url-pattern>/*</url-pattern>
      <dispatcher>REQUEST</dispatcher>
</filter-mapping>
<filter>
      <filter-name>httpHeaderSecurity</filter-name>
      <filter-class>org.apache.catalina.filters.HttpHeaderSecurityFilter</filter-class>
      <async-supported>true</async-supported>
      // 以下为额外添加
      <init-param>
        <param-name>antiClickJackingEnabled</param-name>
        <param-value>true</param-value>
      </init-param>
      <init-param>
        <param-name>antiClickJackingOption</param-name>
        <param-value>SAMEORIGIN</param-value>
      </init-param>
</filter>

(复检)启动服务器。
打开火狐浏览器,打开你的此项目任一网页。
右键查看元素:

两苹果
关注
  • 13
    点赞
  • 35
    收藏
    觉得还不错? 一键收藏
  • 7
    评论
专栏目录
Tomcat 点击劫持:X-Frame-Options Header未配置【已解决】
身后是非的博客
03-14 1万+
X-Frame-Options Header未配置背景漏洞描述修复和改进建议具体解决办法TomcatApacheNginx自定义过滤器验证 背景 最近就新开发项目进行网络安全监测,检测报告中发现含有点击 劫持:X-Frame-Options Header未配置 (低危) Web安全漏洞,下面为具体解决方法 漏洞描述 X-Frame-Options HTTP 响应是用来给浏览器指示允许一个页...
tomcat设置响应:X-Frame-Options
weixin_34296641的博客
07-16 3998
2019独角兽企业重金招聘Python工程师标准>>> ...
X-Frame-Options响应防点击劫持
道阻且长,行则将至。
02-21 5363
在一些漏扫设备中经常会扫出一个低风险问题——“点击劫持:X-Frame-Options配置”,如下为绿盟科技 RSAS 扫描器的漏扫报告:APPScan 也会扫出该漏洞:本文将对该漏洞的危害、利用方式和防护手段进行介绍。
安全响应(二)​X-Frame-Options
最新发布
dzqxwzoe的博客
06-14 1193
一 [X-Frame-Options](https://developer.mozilla.org/en-①[相关参考 ](https://learn.microsoft.com/zh-cn/archive/blogs/ieinternals/combating-clickjacking-with-x-frame-options "相关参考 ")② 简介③ 语法④ 案例。
防御点击劫持:X-Frame-Options的重要性与实践
todoitbo的博客
03-04 5261
本文将探讨缺少反点击劫持 X-Frame-Options 可能导致的安全隐患,并介绍如何通过使用该部来保护网站免受点击劫持攻击。通过生动的例子和详细的步骤,帮助读者理解如何有效地强化网站的安全性。
服务器设置X-Frame-Options Header响应(Tomcat,服务器,项目)
weixin_42517915的博客
09-25 4777
解决方案(修改tomcat配置文件) 打开Tomcat配置文件(conf\web.xml)搜索 httpHeaderSecurity有两处地方 <!--第一处将注释放开--> <filter> <filter-name>httpHeaderSecurity</filter-name> &l...
tomcat设置X-Frame-Option
顺其自然~专栏
09-13 3645
1. 如果tomcat的lib目录下的catalina.jar中有org.apache.catalina.filters.HttpHeaderSecurityFilter。
【转】Tomcat如何配置“X-Frame-Options
happydecai的博客
05-15 6332
【原理】 配置http的响应信息:属性名X-Frame-Options。 可以配置的参数有两个: 1.DENY:浏览器拒绝当前页面加载任何Frame页面。 2.SAMEORIGIN:页面只能加载入同源域名下的页面。 3.ALLOW-FROM uri:只能被嵌入到指定域名的框架中。 一般选第二个参数就可以了。 方式一:每页面添加(太傻逼): <% response.addHeader(...
Tomcat服务器配置X-Content-Type-Options、X-XSS-Protection、Content-Security-Policy、X-Frame-Options
时光有伱,记忆成花~
03-08 3万+
Tomcat目录下,配置请求 打开tomcat/conf/web.xml,增加如下配置(交流群:700637673) <filter> <filter-name>httpHeaderSecurity</filter-name> <filter-class>org.apache.catal...
点击劫持漏洞:使用X-Frame-Options 解决方法(应用tomcat
dearbaba_8520的博客
04-21 363
点击劫持漏洞:使用X-Frame-Options 解决方法(应用tomcat
【已解决】Tomcat配置“X-Frame-Options未设置”警告的过滤器(详细)
黑夜的风的博客
11-30 1万+
很久以前,360提示我的网站有"X-Frame-Options未设置的风险。 网上找了很多教程,大多是其他后台语言的教程。tomcat配置说的很简略(也许是太过简单,大神们不惜讲)。 小白的我捣鼓了下终于弄好了。现分享下: 【原理】配置http的响应信息:属性名X-Frame-Options。 可以配置的参数有两个: 1.DENY:浏览器拒绝当前页面加载任何Frame页面。
X-Frame-Options相关文件
08-27
Tomcat是流行的Java应用服务器,可能会涉及到Web应用的安全配置,包括设置X-Frame-Options来保护其服务。 3. **CntenHttpHeaderSecurityFilter.java** - 这看起来是一个Java过滤器,可能用于添加或检查HTTP响应...
X-Frame-Options配置漏洞修复参考v1.0.docx
06-03
为了防范这种攻击,网站管理员应该在服务器端配置X-Frame-Options,指示浏览器是否允许页面在frame或iframe中显示。X-Frame-Options有三种可能的值: 1. **DENY**:不允许任何域加载此页面,包括同一域下的页面...
X-Frame-Options缺失漏洞修复-esapi.zip
07-17
X-Frame-Options允许服务器告诉浏览器是否可以在 iframe 或 object 元素中加载页面。如果不设置此部,攻击者就有可能利用这个漏洞将目标网站嵌入到他们的恶意网页中,从而实现点击劫持。通常,X-Frame-Options...
iis、apache、nginx使用X-Frame-Options防止网页被Frame的解决方法
09-30
X-Frame-Options提供了三种赋值方式: 1. DENY:不允许任何站点在frame或iframe中加载此页面,无论其来源如何。 2. SAMEORIGIN:只有同源(协议、域名和端口都相同)的页面才能在frame或iframe中显示。 3. ALLOW-...
tomcat jar 包
01-06
为了管理和配置Tomcat,用户可以编辑conf目录下的配置文件,如server.xml、web.xml等,这些文件定义了服务器的行为和设置。此外,通过管理界面(如Manager App)或命令行工具,可以进行应用的部署、更新和卸载。 ...
tomcat 配置修复X-Frame-Options 漏洞方法
小菜鸟的博客
04-12 2141
给您的网站添加X-Frame-Options响应,赋值有如下三种: DENY:无论如何不在框架中显示; SAMEORIGIN:仅在同源域名下的框架中显示; ALLOW-FROM uri:仅在指定域名下的框架中显示。 具体配置:在tomcat/conf/web.xml中配置下面代码: web.xml搜索httpHeaderSecurity,首先放开httpHeaderSecurity的注释 然后添加部分语句,下面是完整配置: <filter> <filter-na..
配置您的 Web 服务器以包含 X-Frame-Options
weixin_45816407的博客
05-09 2497
X-Frame-Options HTTP 响应是用来给浏览器指示允许一个页面可否在或者<object>中展现的标记。网站可以使用此功能,来确保自己网站的内容没有被嵌套到别人的网站中去,也从而避免了点击劫持 (clickjacking) 的攻击。
X-Frame-Options简介
热门推荐
zzhongcy的专栏
05-06 5万+
最近安全检查,发现没有保障和避免自己的网页嵌入到别人的站点里面,于是需要设置X-Frame-Options增加安全性。 网上查了查资料,这里记录一下。 可以使用下面工具进行验证:Clickjacking Tool | Test | UI Redressing 1、X-Frame-Options X-Frame-OptionsHTTP响应是用来给浏览器指示允许一个页面可否在<frame>、<iframe>、<em...
tomcat解决X-Frame-Options丢失
12-29
Tomcat中解决X-Frame-Options丢失的方法如下: 1. 打开Tomcat配置文件`server.xml`,该文件位于Tomcat安装目录的`conf`文件夹下。 2. 在`<Host>`标签内添加以下内容: ```xml <Valve className="org.apache.catalina.valves.HeadersValve" addXFrameOptionsHeader="true" xFrameOptionsHeader="SAMEORIGIN" /> ``` 这将在所有页面上添加X-Frame-Options响应,并将其值设置为`SAMEORIGIN`。 3. 保存并关闭`server.xml`文件。 4. 重新启动Tomcat服务器。 这样,Tomcat将在所有页面上发送X-Frame-Options响应,并将其值设置为`SAMEORIGIN`,从而解决X-Frame-Options丢失的问题。
评论 7
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值